セキュリティ・バイ・デザイン実施における留意事項

本ガイドラインの最後に、前章までの内容もふまえて、セキュリティ・バイ・デザイン実施にあたっての留意事項について示す。

  • セキュリティ・バイ・デザインにおいては、工程間で不整合なセキュリティ対策が実施されることにより、システムのセキュリティ品質を確保することが困難になるため、工程間で一貫した整合性を確保することを念頭にセキュリティ対策を実施する。

  • 本紙記載のセキュリティ・バイ・デザインの実施内容の全てを同時に実現することは困難であることが想定される。自組織の開発プロセスやルール等を考慮し、組織として考慮すべきリスクや実現可能性を踏まえて実施可能なところから運用を開始し、課題改善と内容拡充をはかりながら、成熟度を向上していくことが現実的である。

  • セキュリティ・バイ・デザインは一度実施して終了でなく、新たなセキュリティ脅威の出現やシステム更改等の場合において、セキュリティ・バイ・デザインの再実施要否、(要の場合)再実施方法を検討し、継続的にセキュリティリスクの対応をはかることが肝要である。

別紙1 各工程で参照可能なセキュリティ標準

別紙2 各工程のセキュリティ関連の実施項目

別紙2では、4章に記載したセキュリティ・バイ・デザインの実施内容に基づいた、各工程で実施すべき項目をチェックリストとして示す。

セキュリティ・バイ・デザインの関係者は、本チェックリストを用いて各工程でのセキュリティ・バイ・デザインの実施状況を把握し、本来実施すべき内容の抜け漏れを防止することが求められる(原則全ての項目を実施することが望ましいが、システム特性等に応じて該当しない項目が生じる場合もあることに留意する)。

本チェックリストを用いてセキュリティ・バイ・デザインの実施状況を可視化することで、リスクアセッサー等による検証やセキュリティ監査の効率化や継続的なセキュリティリスク対応の見直しの一助にできるため、積極的に活用すること。

①セキュリティリスク分析/セキュリティ要件定義のチェックリスト

②セキュア調達のチェックリスト

③セキュリティ設計のチェックリスト

④セキュリティ実装のチェックリスト

⑤セキュリティテストのチェックリスト

⑥セキュリティ運用準備のチェックリスト

⑦セキュリティ運用のチェックリスト

別紙3 システムにおける一般的なセキュリティ上の問題点

一般的な政府情報システムにおけるセキュリティ上の問題点は下記表の通りである。これらのセキュリティ上の問題点を作りこまないよう、留意してシステム開発を進めることが求められる。

別紙4 リスクランクに応じたセキュリティリスクアセッサーによる評価例

別紙5 政府情報システムにおけるクラウドセキュリティ要件策定、審査手順

  1. 本手順の概要

本手順は、クラウドサービス選定にあたり調達仕様書に記載すべきセキュリティ要件の策定および当該要件に基づく事業者からのクラウドサービス提案内容を審査するための手順である。

  1. 実施ステップ

本手順における実施ステップは下記の通りである。

ステップ①:クラウドサービスが満たすべき要件を策定

ステップ②:①の要件に基づく事業者からのクラウドサービス提案内容の審査

以降、ステップごとに具体的な実施手順を記載する。

ステップ①:クラウドサービスが満たすべき要件を策定

クラウドサービス選定にあたり調達仕様書に記載すべき要件は、以下の通りに分類される。調達仕様書には下記a~cの要件を記載すること。

  1. 統一基準群等に基づく委託先に求める要件

  2. ISMAP等クラウドサービスリスト登録済みのクラウドサービスに求める要件

  3. 個別のセキュリティ要件

以降で各要件の策定方法を記載する。

  1. 統一基準群等に基づく委託先に求める要件

「政府機関等のサイバーセキュリティ対策のための統一基準群(令和5年度版)(https://www.nisc.go.jp/policy/group/general/kijun.html)」「4.1.1業務委託(1) (a)(イ)」に規定されている委託先選定基準の内容を踏まえて、調達仕様書に要件を記載すること。(具体的な委託先選定基準は参考資料「統一基準群に規定されている委託先選定基準」を参考にすること)

なお各府省の個別の委託先に求める要件も考慮すること。

  1. ISMAP等クラウドサービスリスト登録済みのクラウドサービスに求める要件

ISMAP等クラウドサービスリストに登録済みのクラウドサービスの管理策の適用状況については、登録サービスごとに異なっている。このため、適用必須と考える管理策については、参考資料「クラウドサービスが遵守すべきISMAP管理策基準」及び、ISMAP管理基準(https://www.ismap.go.jp/csm?id=kb_article_view&sysparm_article=KB0010028)第5章管理策基準の内容を踏まえて調達仕様書に要件として記載すること。

なお、登録サービスごとの管理策の適用状況については、ISMAPクラウドサービスリスト「基本言明要件のうち実施している統制目標の管理策」から確認可能。(具体的な確認手順は参考資料「ISMAPポータルサイト内のサービスリストについて」を参考にすること)

  1. 個別のセキュリティ要件

上記a,bの要件に加えて、クラウドサービスを使用する業務の特性や取扱う情報の機微性等を考慮し、リスクに見合ったセキュリティ要件を追加検討すること。

なお、機密性3情報をクラウドサービスで取り扱う場合には、ISMAPが前提とする情報の格付(機密性2情報)を踏まえて、必要なセキュリティ要件を追記すること。

表.個別のセキュリティ要件

項番要件分類セキュリティ要件補足
保存データの暗号アルゴリズムクラウドサービスで保存するデータの暗号アルゴリズムは、電子政府推奨暗号アルゴリズム(CRYPTREC)を使用可能であること統一基準群を考慮した個別のセキュリティ要件
1
2

ステップ②:①の要件に基づく事業者からのクラウドサービス提案内容の審査**

①の要件に基づく事業者からのクラウドサービス提案内容の審査において、下記図の示す通り、ISMAP等クラウドサービスリストに登録されているサービスもしくは登録されていないサービスかで審査方法が異なる。

図.クラウドサービス提案内容の審査の全体概要

事業者からのクラウドサービス提案内容の具体的な審査方法については、下記表に従って実施すること。

表.クラウドサービスの審査方法

参考資料 ISMAPポータルサイト内のサービスリストについて

【参考資料のURL】

ISMAP等クラウドサービスリストの利用について

https://www.ismap.go.jp/csm?id=kb_article_view&sysparm_article=KB0010265

ISMAPポータルサイト

https://www.ismap.go.jp/

ISMAPクラウドサービスリスト

https://www.ismap.go.jp/csm?id=cloud_service_list

ISMAP-LIUクラウドサービスリスト

https://www.ismap.go.jp/csm?id=cloud_service_list_liu

参考資料 統一基準群に規定されている委託先選定基準

  1. 以下の内容を含む情報セキュリティ対策を実施することを委託先の選定基準とし、仕様内容にも含めること。

第4部 外部委託

4.1 業務委託

4.1.1 業務委託

遵守事項

(1) 業務委託に係る運用規程の整備

(a) 統括情報セキュリティ責任者は、業務委託に係る以下の内容を全て含む運用規程を整備すること。

(イ) 委託先の選定基準

【 基本対策事項 】

<4.1.1(2)(a)(イ)関連>

4.1.1(2)-1 情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、以下の内容を全て含む情報セキュリティ対策を実施することを委託先の選定条件とし、仕様にも含めること。

a) 委託先に提供する情報の委託先における目的外利用の禁止

b)委託先における情報の適正な取扱いのための情報セキュリティ対策の実施内容及び管理体制

c) 情報セキュリティインシデントへの対処方法

d) 情報セキュリティ対策その他の契約の履行状況の確認方法

e) 情報セキュリティ対策の履行が不十分な場合の対処方法

4.1.1(2)-2 情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、委託する業務において取り扱う情報の格付等を勘案し、以下の内容の全てを必要に応じて仕様に含めること。

a) 監査の受入れ

b) サービス品質の保証

<4.1.1(2)(a)(ウ)関連>

4.1.1(2)-4 情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、委託先がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、基本対策事項4.1.1(2)-1及び2の措置の実施を委託先に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を機関等に提供し、機関等の承認を受けるよう、仕様に含めること。また、委託判断基準及び委託先の選定基準に従って再委託の承認の可否を判断すること。

4.1.2 情報システムに関する業務委託

遵守事項

(1) 情報システムに関する業務委託における共通的対策

(a) 情報システムセキュリティ責任者は、情報システムに関する業務委託の実施までに、委託先の選定条件に情報システムに機関等の意図せざる変更が加えられないための対策に係る選定条件を加え、仕様を策定すること。

【 基本対策事項 】

<4.1.2(1)(a)関連>

4.1.2(1)-1 情報システムセキュリティ責任者は、以下の内容を全て含む情報セキュリティ対策を実施することを情報システムに関する業務委託の委託先の選定条件に加え、仕様にも含めること。

a) 委託先企業若しくはその従業員、再委託先又はその他の者によって、情報システムに機関等の意図せざる変更が加えられないための管理体制

b) 委託先の資本関係・役員等の情報、委託事業の実施場所、委託事業従事者の所属・専門性(情報セキュリティに係る資格(情報処理安全確保支援士等)・研修実績等)・実績及び国籍に関する情報提供